Posted on

[SCI] Vulnerabilidad crítica en productos Philips Vue PACS

Introducción

Philips ha publicado un aviso de seguridad que contiene información sobre 13 vulnerabilidades: 1 de ellas crítica, 8 altas y el resto medias. La explotación de estas vulnerabilidades podría permitir el acceso al sistema, modificar datos y ejecutar código, entre otros.

Esta información fue descubierta por los investigadores TAS Health NZ y Camiel van Es.[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

      • CVE-2017-17485 – Deserialización de datos no confiables (CWE-502):
        El componente de un producto externo deserializa datos que no son de confianza sin verificar suficientemente que los datos resultantes serán válidos. Esto podría ser empleado por un atacante para enviar una ingesta json maliciosa, lo que le permitiría omitir la lista negra y ver o modificar datos, obtener acceso al sistema, realizar la ejecución de código o instalar software no autorizado.
    •  
  • La serie de productos afectados es:
      • Philips Vue PACS: versiones anteriores a 12.2.8.410.

Recomendaciones

Actualizar Philips Vue PACS a las versiones 12.2.8.410 o posteriores.

Referencias

Posted on

Publicación boletín mensual

Hoy hemos emitido un nuevo boletín mensual con muchos consejos sobre ciberseguridad.

Todos los suscriptores del boletín mensual del CSIRT-CV han recibido el último ejemplar en sus correos.

Si queréis ser de los primeros en recibir nuestra publicación, podéis suscribiros aquí o, si preferís leerlo en nuestra página podéis hacerlo desde este enlace.

Posted on

Nueva versión del malware SYS01 que usa anuncios de Facebook para robar contraseñas

Investigadores de Trustwave han observado que cibercriminales promueven descargas gratuitas de juegos y cracks de activación de software con fines maliciosos.

Los criminales están haciendo uso de  anuncios publicados en la red social Facebook de Meta, para infectar equipos con el malware SYS01. Estos anuncios, engañan a los usuarios para que descarguen contenido malicioso disfrazado como archivos legítimos. Además, para aumentar la credibilidad y las posibilidades de que un internauta caiga, suplantan páginas legítimas que coinciden con el archivo malicioso que se está descargando. Entre otros, se ha visto suplantaciones de juegos como Call of Duty: Modern Warfare III y cracks como Sora AI, Photoshop y Microsoft Office.

Impacto del malware

 

El principal objetivo del malware SYS01 es robar datos sensibles, incluyendo cookies del navegador, credenciales guardadas, historial de navegación y carteras de criptomonedas.

Además, este malware incluye una tarea que utiliza las cookies de Facebook que se encuentran en el dispositivo para robar información de la cuenta del sitio de redes sociales:

    • Extrae información del perfil personal, como el nombre, el email y la fecha de cumpleaños.
    • Recaba datos detallados de cuentas publicitarias, incluidos gastos y métodos de pago.
    • Datos que incluyen empresas, cuentas publicitarias y usuarios profesionales, agencias, lo que pone de manifiesto la profundidad del acceso a datos comerciales y financieros sensibles.
    • Detalles relativos a las páginas de Facebook, incluido el recuento de seguidores y sus funciones.

Estrategia de distribución

Los anuncios publicitarios en Facebook redirigen a los usuarios a páginas web alojadas en Google Sites o True Hosting, que se hacen pasar por páginas de descarga. Al intentar descargar estos archivos, el usuario recibe un archivo ZIP que contiene el malware SYS01. 

Conclusión

Para evitar caer víctima de estos engaños, se recomienda no descargar archivos de sitios poco confiables o que promocionan ofertas demasiado jugosas.

Antes de descargar cualquier archivo en internet se debe revisar la legitimidad de la página y en caso de duda es preferible no descargar y/o ejecutar el archivo.

Referencias

Posted on

[SCI] Múltiples vulnerabilidades en Smart PLC de ifm electronic GmbH

Introducción

El investigador, Logan Carpenter de Dragos, junto con la coordinación del CERT@VDE, con el fabricante ifm, ha reportado 5 vulnerabilidades, 2 de severidad crítica y 3 de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a la configuración utilizando las credenciales codificadas.[1]

Análisis

Las vulnerabilidades encontradas son las siguientes:

      • CVE-2024-28747– Credenciales embebidas en el software (CWE-798):
        Un atacante remoto, no autenticado, podría utilizar las credenciales codificadas para acceder a los dispositivos SmartSPS con altos privilegios.
      • CVE-2024-28751– Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo) (CWE-78):
        Un atacante remoto con privilegios elevados podría habilitar el acceso telnet, el cual acepta credenciales codificadas.
  • La serie de productos afectados es:
      • Smart PLC AC14xx, versiones de firmware 4.3.17 y anteriores
      • Smart PLC AC4xxS, versiones de firmware 4.3.17 y anteriores

Recomendaciones

Actualizar los productos afectados a la versión del firmware 6.1.8 o posteriores.

Referencias